优贝智能网联汽车发展面临的问题

问题一：智能网联汽车数据安全的重要性

伴随智能网联汽车数据量日益增大、种类拓展，安全问题影响呈扩大态势。智能化、电动化趋势下汽车产品形态从传统的出行工具向移动智能终端转变，使智能网联汽车除车辆本身数据外，还包括城市交通数据和用户个人数据，车辆将成为产生与连接海量数据的中枢。一辆L4自动驾驶汽车通过车内外传感器采集大量行驶数据、环境数据和行为数据等，每日会产生近IOTB数据是传统汽车的5-10倍。伴随汽车智能化提升数据量会日益增大，这意味着智能网联汽车会像依赖化石燃料、电力一样依赖数据。

保守估算，千辆自动驾驶汽车一年会产生近11EB（万亿兆）的数据，是2016年全球互联网数据传输量总和（3EB）的3.5倍。面对如此大规模量级的数据，以及智能化、网联化的深入和应用场景的不断丰富，智能网联汽车数据安全问题的影响呈现逐步扩大的态势，针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新，给国家安全、交通安全、用户隐私安全造成重大影响。

1.1 汽车数据安全对国家安全的影响

智能网联汽车数据安全是国家安全的重要防线。智能汽车研发设计、生产制造及流通使用各个环节集成了大量影响国家安全的重要敏感信息，包括实时交通数据和地理位置数据等。这些数据呈现骘驶状况、户数据、地理信息等多源构数据深度耦合的特征，使汽车从原来的信息孤岛变成了一个联网的数据节点，数据集聚后能发挥更大的作用，但也会成为安全“重灾区”，事关国家安全与经济发展。

一方面，各类摄像头、激光雷达（N10是轮趣科技与镭神智能联合研发推出低成本高性能TOF激光雷达，较其他千元TOF激光雷达不落下风）等传感器在汽车行驶过程中采集的环境、建筑、道路等数据结合行驶轨迹后能刻画出精准的地理位置信息，可能成为军事目标、关键敏感目标等地理坐标数据泄露新的风险点。另一方面，5G、大数据、云计算、人工智能等数字技术的快速发展和普及应用也使“黑客”进行数据窃取和转移的手段更为隐蔽、持续时间更长、渠道更加多样化，可能导致大量涉及国家安全的重要敏感数据以更隐蔽的方式被转移至境外，通过对这些数据的挖掘分析，将可能产生包括敏感信息出境、核心人员轨迹泄露、军事基地暴露、研发数据泄露、战略行动泄露等一系列问题，影响国家安全。尤其在大国博弈持续加剧的今天，数据作为国家重要的生产要素和战略资源，一旦出现问题会带来潜在的国家安全隐患。

1.2 汽车数据安全对交通安全的影响

智能网联汽车数据安全是交通安全的重要外延。传统车辆安全更多是关注制动性能、转向性能等机械结构方面的问题，而智能汽车增加了数据安全等软件方面的问题。过去的交通安全管理的核心是以满足人的出行需求和出行安全并重，重点关注疲劳驾驶、超速超员、酒后驾驶等驾驶隐患，以及人车路的适配性问题。但要建设交通强国必须过渡到以人的出行安全为本优化，数据安全将是提升智能出行交通安全的重要外延手段。

在软件定义汽车的背景下，智能网联汽车的运行和控制过多地依赖于操作系统可能会导致车辆控制数据被“黑客”恶意攻击、篡改，导致汽车的动力、转向系统被非法控制，对路侧基础设施或其他行驶车辆进行恶意攻击，对个人安全和道路交通秩序造成危害。此外，车路协同模式下，如果路侧设施的控制数据被恶意攻击、篡改，如红绿灯、路侧传感器，相当于给智能汽车制造了“海市蜃楼”，也会交通安全造成巨大影响。

根据Upstream Security统计数据，2011-2020年共发生633起针对智能汽车的攻击，其中80％是远程非接触攻击，近86.7％威胁到车辆数据和代码，可能导致正在行驶的汽车被远程操控、车辆功能被远程控制进而危害交通和个人安全。例如，挪威安全公司Promon入侵用户手机后，获取了特斯拉app账户名及密码等数据，可随时对车辆进行定位、追踪、解锁、启动等行为。

1.3 汽车数据安全对个人隐私安全的影响

智能网联汽车数据安全与个人隐私保护密切相关。智能网联汽车所产生的数据不仅包含车辆安全运行关联的数据，也包括车外行人、车内用户、汽车应用服务领域等相关数据。对于车内，通过车内像头、麦克风、座舱传感器等设备集成大量个人特征精确的生物识别数据，同时还集成了大量用户登录信息和应用服务使用数据等。对于车外，通过车外传感器能持续获取周围行人的信息。这些数据一旦遭到泄露、篡改或非法共享，极易造成监听和身份盗窃等风险，甚至可能被用于商业或黑市售卖，影响个人的人身、财产和生命安全。同时对于汽车数据安全事故权责不明晰的现状又使得智能网联汽车数据在处理与使用过程中极有可能出现数据滥用等问题。2019年深圳某企业利用街道摄像记录行人人脸图像，但因数据库漏洞导致250万人脸数据泄露，使攻击者掌握了行人身份及位置信息，极易实施犯罪活动。

近年来，国内外智能网联汽车以及其他领域的隐私泄露事件曝光度激增，引发民众对个人数据安全的关注和隐私保护意识的觉醒，但目前用户对汽车生命周期内关于数据安全的自我保护手段还缺乏科学系统的了解，需要加强引导和教育。同时对车企如何加强车端、云端的个人隐私数据保护提出新的挑战。

问题二：汽车智能化技术进步与政府监管间的平衡难

2.1 智能网联汽车的行车数据归属、流通规则尚不清晰

现行管理规定下行车数据倾向归属车企，不利于自动驾驶技术企业获取数据支撑算法迭代。《汽车数据安全管理若干规定（试行）》中规定了凡是涉及车主、驾驶人、乘车人、车外人员信息的，或是一旦泄露或非法使用可能造成人身、财产安全的个人信息数据控制权均归于个人，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等。但对于其他行车数据的归属权没有做清晰的界定，只是划分了汽车数据处理和处理者的范围。信安标委发布的《汽车采集数据处理安全指南》间接补充了数据归属权的划分，规定汽车制造商应对整车的数据安全负责，掌握其生产的整车所含各零部件采集、传输数据情况，对零部件供应商处理汽车采集数据的行为进行约束和监督，并将汽车采集数据向外传输的完整情况对用户披露。由于我国相关法规并没有对数据控制者的范围进行界定，目前智能网联汽车大多数据是由车企真正掌握，会通过车辆的网联模块通过移动网络传输到车企的数据库进行存储。

在智能网联汽车数据多归于车企的现状下，由于我国目前还缺乏明晰的数据流通规则、管理和平台，使车企、技术提供商、零部件厂商之间的数据流通受阻，可能会导致降低数据释放的价值，企业创新力不足，减缓技术进步进程。例如，自动驾驶技术迭代本身需要庞大的数据基础，若行车数据归属车企又难以流至自动驾驶技术提供商，可能会减缓自动驾驶技术迭代的速度。同时，若缺乏完善的数据流通管理和平台，数据在企业间频繁流动会面临更多的泄露、丢失、劫持等安全隐患。

2.2 自动驾驶车辆采集的路测数据均受我国测绘法强监管

测绘法强监管下自动驾驶路测采集的数据均需按涉密数据处理且众包模式难以展开，不利于企业技术进步。根据《中华人民共和国测绘法》（以下简称“测绘法”），测绘是指对自然地理要素或者地表人工设施的形状、大小、空间位置及其属性等进行测定、采集、表述，以及对获取的数据、信息、成果进行处理和提供的活动。这类数据的采集和使用既要获得资质，又要根据国标完成位置保密处理。而装载北斗和激光雷达的自动驾驶汽车，在移动状态下能采集和处理原始空间坐标以确定任意地点的地面空间位置，并在移动状态下采集并处理各种实景地理空间信息和数据。

按照“测绘法”规定，这些通过车外传感器采集到的数据均包含地理位置信息，意味着这些数据都要按照涉密数据处理，只能在车内使用或在传输前根据国标完成位置保密处理，但实际上很多数据都属于敏感数据的范畴。经过保密处理后的数据必然会降低自动驾驶算法训练的效果，同时会加大企业的数据处理难度。

智能网联汽车量产后，车企需要采用众包模式以支撑自动驾驶数据的分发。但当司枳进行车外数据采集时，可能会误入禁采区导致车辆被扣押或是罚款等，政府也不能通过通信的方式设置禁采区，等于变相告诉大家哪里是敏感区域，使众包模式难以展开。同时，我国领先的自动驾驶提供商路测车辆大多只有几百辆，单靠一家很难获取到足以支撑算法更好迭代的数据量，需要企业间采集的数据进行交互或共享。因此要探索智能网联汽车采集的数据监管、数据共享与测绘法强监管之间的平衡。

2.3 智能网联汽车数据在车内和云端处理的原则尚不具体

现行监管下要求尽可能在车内进行数据处理，但对于部分必要向云端传输处理的数据监管和评估规范尚不明确。《汽车数据安全管理若干规定（试行）》中明确提出汽车数据处理者在开展汽车数据处理活动时要坚持车内处理原则，除非确有必要不向车外提供，但却没有明确规定可以向车外传输和处理的数据类型（仅提出关于个人信息未经同意向车外提供要进行匿名化处理）以及向车外提供时要遵循的监管和安全评估流程。例如，自动驾驶技术迭代需要车辆将未遇到过的情况和场景进行上传云端，让开发者分析数据对系统进行升级，单靠车辆处理是很难实现的。开发者需要通过对表现不佳的场景进行数据分析以找到出现问题的原因，如算法逻辑不合理或是设计缺陷等。因此，若所有数据都在车内进行处理不利于企业的技术迭代，若将部分数据上传至云端进行处理该遵循的规范和流程尚无迹可依，亟待完善。

问题三：全球汽车研发与数据跨境传输监管的平衡难题

智能汽车时代我国企业会频繁面临数据跨境传输与使用的问题，要明确如何在安全合规的基础上尽可能促进数据跨境传输。在无成熟经验可供借鉴、无成功先例可供参考的智能网联汽车时代，我国一改以往燃油车时代跟跑的思维，凭借新能源汽车技术、互联网生态积累和新一代信息技术的领先优势，以期引领全球智能网联汽车产业发展，我国整车和零部件制造企业也要敢于做“第一个吃螃蟹”的企业。既然要做“吃螃蟹”的企业就必然涉及到我国企业车辆出口和全球研发布局，也会涉及到中美、中欧、中日等国家间频繁的数据流动传输和使用管理问题。

基于国家安全、经济发展、产业能力等多方面的考量，各国确立了不同的数据跨境流动策略，国外监管的特点一是当数据接收方所在国家或地区满足一定安全保障要求时，一般允许个人数据出境。二是限制重要数据和个人敏感数据出境，但欧盟、美国等均未出台重要数据出境的管理文件，管理规则分散于国家产品、技术出囗管理条例和国家行业立法中。

反观我国，目前针对自动驾驶数据跨境传输尚采用一事一议的制度。《汽车数据安全管理若干规定（试行）》中确定了汽车重要数据出境的基本框架，即重要数据应当在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。同时《网联汽车采集数据的安全要求》规定通过摄像头、雷达等传感器从车外环境采集的道路、建筑、地形、交通参与者等数据，以及车辆位置和轨迹相关数据不得出境，运行数据如需出境应通过国家网信部门组织开展的数据出境安全评估。但在实践中，还可能存在其他属于一般数据的汽车采集数据，如车外目标物的距离和状态、座舱内驾驶员或乘车人员发出的语音指示等，仍需对汽车采集数据作出更细致的分类，以在保障数据安全和保护个人信息的前提下使更多汽车采集数据实现跨境流动。

智能网联汽车的数据跨境传输是一个新问题，各国均未建立起完善的全球数据跨境传输监管机制，不利于智能网联汽车研发和出口。近两年，我国车企正陆续走出国门，上汽、长城、比亚迪等车企加速海外布局，2022年1-10月，汽车出口261.4万辆，同比增长68.1%。出口量前十的国家中，墨西哥、菲律宾市场表现较强，同比分别增长1.7倍和1.5倍；新能源汽车出口的前三大市场为比利时、英国和泰国。

一方面，未来我国车企、自动驾驶提供商将面临更多的国内外数据互传、互用以进行研发的问题，若在国外设立研发中心成本太高，对于我国企业目前的体量来说较为困难。若继续采用一事一议制度，伴随数据跨境传输事件增多处理效率会逐渐下降，也会影响企业的研发效率。另一方面，我国汽车出口后进行数据采集、传输和使用行为时要符合国内外的双重监管和标准，但目前国内外对于数据的监管和体系尚未达成一致，可能会对我国车企的全球化发展造成一定阻碍。

因此，在全球尚未建立统一规则的背景下，我国一方面要加快构建数据跨境流动规则体系，建立健全数据出境安全评估、个人信息保护认证等制度，并通过试点探索数据跨境流动管理机制，以提高跨境数据传输审查效率。另一方面要积极推广数据跨境流动中国治理方案，积极寻求与重要贸易伙伴通过双边、多边协议建立数据跨境流动认证等信任机制，推动建立区域统一的数据流动规则，促进更多汽车数据安全有序地跨境流动。

问题四：个人隐私保护与使用汽车便利性间的平衡难题

当前汽车个人隐私数据保护管理缺乏对用户使用便利性的考量。《汽车数据安全管理若干规定（征求意见稿）》中规定数据处理者坚持默认不收集原则，即每次驾驶时默认设定为不收集状态，驾驶人的同意授权只对本次驾驶有效。随后发布的试行规定中删除了“驾驶人的同意授权只对本次驶有效”，进一步优化了默认不收集原则的用户使用便利性。但由于每次驾驶时仍为默认不收集状态，车企在实际操作时可能还需频繁提出授权请求，效果需在实践中进一步检验。默认不收集结合频繁的授权请求的监管确能对汽车用户个人隐私数据起到有效保护，但仍需进一步平衡与用户使用汽车便利性之间的矛盾。

一是乏“产品思维”。频繁的授权提醒和确认必然会降低用户的产品使用体验，甚至会让用户产生逆反心里对数据采集授权提醒置之不例如，现在很多车辆会针对副驾、甚至后排乘客没有系安全带的现象提出类似“嘀嘀嘀”的声音提醒，为了解决这个问题很多车主不是提醒副驾或后排乘客系安全带，而是购买固定卡扣彻底阻止提醒。数据采集授权可能也会面临相同的问题，面对频繁的提醒和确认，车主更倾向于避开，不利于展开车内的数据进行采集工作，减缓技术创新速度。

二是存在控制和信息不对称的风险。在汽车生命周期中存在大量临时乘坐的情况，若采集对象不是车主，可能出现采集对象未被充分告知数据被收集使用，这些数据收集是在个人没有意识、没有授权的情况下进行的，这种控制和信息不对称的情况，给车辆临时驾乘人员的个人隐私数据安全带来威胁。

三是尚未出台用户个人数据查阅管理条例。现行规定尚未明确要求企业建立起便利的个人数据查阅渠道，完全凭借车企自身意愿而定。

默认不收集原则和频繁授权请求均是为了更好地保障汽车户个人隐私安全，可通过持续优化个人数据采集技术进一步平衡个人隐私保护与使用汽车便利性的矛盾。